A Pesquisa Global CEO Outlook Pulse Survey 2021 - KPMG Brasil indica que a cybersegurança despontou para o topo dos riscos empresariais, recontextualizando as preocupações a partir das transformações e desdobramentos da pandemia. Além de casos públicos atingindo companhias abertas, poder judiciário e organizações da área da saúde, empresas de diferentes portes e áreas de atuação são alvos frequentes de ataques no seu ambiente virtual, oriundos de tentativas externas e até mesmo plantadas por fontes internas das companhias.

Hoje, sabemos que além de ser impossível contar com uma proteção 100% eficaz, os ataques ganharam requintes de sofisticação e que, mais cedo ou mais tarde, será a vez das companhias em que atuamos como conselheiros passar pela experiência amarga de uma invasão, sequestro de dados, pedido de resgate e outras medidas cada vez mais ousadas que circulam na darkweb. Dada à profissionalização e o impacto desses crimes, o tema segurança cibernética definitivamente passou a ser tratado como questão estratégica, abordada pela alta liderança das empresas, ganhando cada vez mais espaço na agenda dos Conselhos – e tirando o sono de muita gente.

Tendo esse contexto como pano de fundo, no último dia 10 de setembro, tive a oportunidade de moderar o Fórum de Debates realizado pelo Capítulo RS do IBGC intitulado “Cybersegurança: ações e reações da sala do Conselho de Administração”. No evento, que pode ser acessado no Portal do Conhecimento do IBGC, Rodrigo Azevedo, Carlos Biedermann, Roberto Lamb e Valdimir Biedniuk, trouxeram exemplos e vivências de ações e reações tanto para prevenir quanto para remediar ameaças de ataques cibernéticos a partir da perspectiva e atuação do Conselho de Administração.

Como uma conselheira de administração e consultora que carrega viés jurídico e ênfase em governança, portanto, não especialista nas matérias que circundam o ‘mundo virtual’, mas ao mesmo tempo curiosa e consciente da importância que o tema requer, fui compilando algumas notas entre as falas dos participantes e as interações do público desse evento para servir como guia prático. Trata-se de uma espécie de mergulho nesse universo que já não pode ser mais desconhecido para os navegadores da governança.

Fruto disso, com os créditos devidamente atribuídos aos participantes do evento que aportaram suas visões seja como especialistas, conselheiros de administração e fiscal, membros de comitês, consultores, e dando ênfase ao papel do Conselho nessa jornada, compartilho as “10 perguntas que o Conselheiro deve fazer sobre Cybersegurança":

1) Calendário Temático: o tema cybersecurity está oficialmente no calendário do conselho, incorporado sob a perspectiva estratégica, engajando a alta liderança na temática?

2) Comitês: faz sentido, para o contexto específico da Companhia, a criação de comitê específico de cybersecurity, ou a matéria já é adequadamente abordada pelo Comitê de Auditoria/Comitê de Riscos existente?

3) Identificação e mapeamento dos riscos e dos ativos críticos:  a companhia realizou recentemente diagnóstico para identificar seus pontos de fragilidade? A Companhia faz “pentests” regularmente, contratando ‘hackers do bem’ para testar seus níveis de segurança? A companhia tem noções claras de quais são os seus ativos críticos?

4) Monitoramento contínuo:  a Companhia possui um SOC – security operation center, sistema de monitoramento de dados que permita a identificação precoce de invasões?

5) Revisão permanente do apetite ao risco: a Companhia reavalia sistematicamente seu apetite a riscos, mensurando os investimentos necessários para aumentar os níveis de segurança cibernéticos, frente aos benefícios almejados?

6) Planos de ação: a companhia possui uma agenda que enderece os pontos de fragilidade mapeados, dando ênfase aos ativos críticos?

7) Seguro: a companhia possui seguro contra riscos cibernéticos?

8) Governança de Crise: a Companhia possui um “Plano de Crise” para responder a um ataque cibernético, com papéis claros e bem definidos (quem lidera, quem compõem o comitê de “crise”, quem negocia, quem é o porta-voz, quais são os principais stakeholders, quais os especialistas externos que serão envolvidos) e com o passo a passo das ações a serem adotadas numa emergência?

9) Benchmark: a Companhia tem feito benchmark com outras empresas da região ou setor para saber quais as práticas preventivas e quais as ações e medidas adotadas em cyberattacks?

10) Cultura: a Companhia treina e educa a alta liderança e os colaboradores acerca dos riscos cibernéticos, promovendo ações e treinamentos, orientando quanto a troca periódica de senhas, criptografia de arquivos, armazenamento, uso de drives, arquivos suspeitos, práticas a serem evitadas?

Como fecho, aproveito para provocar outros conselheiros a embarcarem nessa jornada, um convite para ampliar a visão sobre gestão de riscos no contexto digital, contribuindo não apenas com novas perguntas, mas também com respostas à lista acima, fomentando as melhores práticas para lidar com as questões de cybersegurança nesse novo mundo dos negócios que se redesenha a partir dos temas insurgentes da Nova Economia e da transformação digital.